一、什么是CA
CA就像工商局,CA证书就是给商户颁发的经营许可证,是互联网上颁发给各个站点的身份认证牌照。例如,我们输入www.xxx.com后出现的网站,我们怎么知道它是不是安全的?怎么知道它就是我们要登录的网站呢?如果它有CA证书,并且我们电脑里存了它的证书,那么就可以判断它是安全可靠的。
二、CA证书里有哪些内容?
x509标准定义了CA证书的内容,以下是三个版本的比较
三、如何获取CA证书
既然CA证书对于网上公共节点这么重要,那么怎么获得它呢?
要获得CA证书像CA注册机构申请就可以了,但是要花钱,一年也没多少钱,普通用户不需要CA,只有 那些需要得到网络社会认可的网站,站点、平台才需要CA认证。
但是有没有不花钱的免费CA呢?
我们可以自己创建一个CA,然后自己给自己颁发证书。但是这样做有什么意义呢?对于小公司和普通 用户来说当然没多大意义了,但是有牛逼的公司就敢这么干,例如垄断企业,他自己给自己颁发证 书,你信也好不信也好,反正它垄断了资源,你不信也没办法。
例如 12306,我们打开它的时候提示证书不受信任对不对?它就是自己给自己颁发了证书,它说:“你爱信不信,反正没有第二家卖火车票的网站了”
四、学习12306建立自己的CA
在linux中我们要使用OpenSSL安装包来实现建立私有CA
步骤:
1.生成私有密钥
私钥用于签发证书时,向证书添加数字签名时使用
2.生成自签署证书
每个通信方都导入此证书至“受信任的证书颁发机构”
3.配置文件
/etc/pki/tls/openssl.cnf
4.工作目录
/etc/pki/CA/
五、建立CA详细步骤
1、生成私有密钥到/etc/pki/CA/private
2、生成自签证书到/etc/pki/CA/
假如我们的公司在中国郑州叫alibaba,公司的号码123456,网站叫www.alibaba.com,邮箱是wuhf123@126.com
3、提供必要的辅助文件以便将来别人向我申请证书时或撤销证书时,我可以自动记录他们的信息
(1)在/etc/pki/CA/下创建index.txt文件
(2)创建/etc/pki/CA/serial文件,并向其内添加一个开始序号
六、向CA申请证书
假如我们的公司叫wuhfnet,网站叫www.wuhfnet.com
1.生成自己的私钥
2.生成证书签署请求文件
openssl req -new -key .. -out .. -days ..
证书签署请求里面的选项除了common name一项填写自己的网站外,其余的必须与CA签发机构一致
3.把请求文件发送给CA
用优盘拷过去或者邮件发过去,就像你送《工商许可能申请》到工商局一样。
七、CA签发证书
1.验证请求者身份信息
就像工商局接到申请,然后去你公司审查你的资格一样
2.签署证书
openssl ca -in .. -out .. -days ..
3.把签好的证书发还给请求者
八、吊销证书
1、获取吊销证书的序列号
2、吊销证书
openssl ca -revoke /PATH/FROM/CRT-FILE
3、生成吊销编号
echo 01 > /etc/pki/CA/crlnumber
原文地址:http://wuhf2015.blog.51cto.com/8213008/1637393